The invention discloses a container cloud security protection method and system based on Kubernetes. The method includes: adding a security protection system into the Kubernetes container cloud, when the client accesses the micro-service on the container cloud, the protection system first cleans the first flow of the transmission layer for the request, then forwards the request to the application layer protection system for the second flow cleaning, and after cleaning. Traffic is forwarded to the corresponding micro-service, and all access logs are collected at the same time. Then, through intelligent analysis of logs, anomalous access behavior and attack sources are identified, protection strategies are generated, and sent to the protection subsystem to intercept attacks and complete the third traffic cleaning. The invention realizes: 1) deep Protection System of IP layer, transmission layer and application layer; 2) intelligent generation, downward transmission of protection strategy and linkage with protection system; 3) container of security components, which has advantages of fast deployment, easy expansion, easy operation and maintenance. The invention is applicable to the security protection of micro services on Kubernetes container cloud.
【技术实现步骤摘要】
一种基于Kubernetes构建的容器云安全防护方法与系统
本专利技术属于网络安全
,具体涉及基于Kubernetes构建的容器云的安全防护方法与系统。
技术介绍
基于Kubernetes构建的容器云,系统本身提供了三种认证方式:CA认证,Token认证和Base认证来保护系统本身不被攻击,保证了系统组件的安全,但针对于容器云中部署的微服务的防护并没有起到作用,如果攻击只针对其中的一个或这多个微服务发起流量攻击,或者其他渗透攻击,Kubernetes集群现有的安全技术手段,无法监测出并拦截到攻击,攻击者很容易就绕过现有的安全策略,来对系统进行各种攻击,使集群服务瘫痪,无法提供正常的微服务,这一点也是Kubernetes构建的容器云不足的地方。随着Kubernetes的流行,以及容器化,微服务化的趋势的发展,提供安全可靠的容器云平台是必须考虑的问题,增强Kubernetes的自身系统针对微服务方面的安全防护能力是本专利技术的目的。
技术实现思路
为了解决上述现有技术存在的问题,本专利技术提出了一种针对Kubernetes构建的容器云的安全防护方法与系统,包括如下:接收客户端发起的,访问基于Kubernetes构建的微服务的请求,首先对该请求进行传输层防护系统第一次流量清洗。其中,所述的客户端请求,包含攻击正常访问请求,和攻击,异常流量请求。所述的进行传输层防护系统,即针对TCP/UDP传输协议的安全防护,基于报文的特征,访问行为,有效识别synflood,udpflood,ackflood等常见流量型攻击,并进行有效拦截,清洗掉攻击流量,实现传输层的流量清...
【技术保护点】
1.一种基于Kubernetes构建的容器云安全防护方法与系统,其特征在于包括:在Kubernetes构建容器云集群的同时,本专利技术作为容器化的系统组件,部署在Kubernetes系统中,作为系统业务流量入口,起到安全防护的作用,系统具体包含:传输层流量清洗子系统,用于接收客户端的第一访问请求,判断是不是攻击流量,要求扩展Linux内核,类似syn‑proxy这样的机制,拦截包括常见的传输层流量型攻击,synflood,udp flood等;如果检测为攻击,直接丢弃,并记录访问日志,用于数据分析和可视化展示;如果不是,则转发到应用层流量清洗子系统;应用层流量清洗子系统,用于接收传输层清洗子系统过滤后的流量,并实现应用层攻击检测,根据协议,匹配规则库中的规则,如果符合攻击特征,直接丢弃,并记录访问日志,用于数据分析和可视化展示;如果不是,则转发到后端容器云中真实的微服务地址;容器云日志收集子系统,用于收集Kubernetes集群中所有微服务容器所产生的访问日志,集成高可用的存储系统,缓存系统确保数据正常及时写入,过滤掉重复,或没有价值的日志,用于日志解析子系统;智能日志解析子系统,用于...
【技术特征摘要】
1.一种基于Kubernetes构建的容器云安全防护方法与系统,其特征在于包括:在Kubernetes构建容器云集群的同时,本发明作为容器化的系统组件,部署在Kubernetes系统中,作为系统业务流量入口,起到安全防护的作用,系统具体包含:传输层流量清洗子系统,用于接收客户端的第一访问请求,判断是不是攻击流量,要求扩展Linux内核,类似syn-proxy这样的机制,拦截包括常见的传输层流量型攻击,synflood,udpflood等;如果检测为攻击,直接丢弃,并记录访问日志,用于数据分析和可视化展示;如果不是,则转发到应用层流量清洗子系统;应用层流量清洗子系统,用于接收传输层清洗子系统过滤后的流量,并实现应用层攻击检测,根据协议,匹配规则库中的规则,如果符合攻击特征,直接丢弃,并记录访问日志,用于数据分析和可视化展示;如果不是,则转发到后端容器云中真实的微服务地址;容器云日志收集子系统,用于收集Kubernetes集群中所有微服务容器所产生的访问日志,集成高可用的存储系统,缓存系统确保数据正常及时写入,过滤掉重复,或没有价值的日志,用于日志解析子系统;智能日志解析子系统,用于智能分析访问日志,获取攻击行为的访问,然后智能生成安全防护策略,并下发给清洗子系统,持续增强防护策略,进行再次的流量清洗;以上所述的多层流量清洗,构建了一套纵深的防护体系,实现了防御的联动,和防护策略的生成和下发,系统自身防护能力可持续性增强。2.根据权利要求1所述的方法,其特征在于,所述的传输层流量清洗子系统,在传输层拦截攻击流量,进一步包括:提供四层负载均衡的能力,同时还包括:基于IP的黑白名单模块,基于域名+IP的黑白名单模块,基于IP+域名的地域访问控制黑白名单模块,基于IP的限速模块,以及基于TCP/UDP协议特征攻击检测模块,自定义协议特征以及配置...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。